Symbioto një malware Linux që përdor teknika të sofistikuara për të fshehur dhe vjedhur kredencialet

Darkcrizt

Minuta 4

Shumë nga përdoruesit të sistemeve operative të bazuara në Linux shpesh ka një ide të gabuar se "në Linux nuk ka viruse" madje ata përmendin siguri më të madhe për të justifikuar dashurinë e tyre për shpërndarjen e zgjedhur dhe arsyeja e mendimit është e qartë, pasi të dish për një "virus" në Linux është si të thuash një "tabu"…

Dhe me kalimin e viteve, kjo ka ndryshuar., meqenëse lajmet për zbulimet e malware në Linux kanë filluar të tingëllojnë gjithnjë e më shumë se sa të sofistikuar bëhen ata për të qenë në gjendje të fshehin dhe mbi të gjitha të ruajnë praninë e tyre në sistemin e infektuar.

Dhe fakti i të folurit për këtë është sepse pak ditë më parë u zbulua një formë malware dhe gjëja interesante është se ai infekton sistemet Linux dhe përdor teknika të sofistikuara për të fshehur dhe vjedhur kredencialet.

Personeli që zbuloi këtë malware ishin Studiuesit e BlackBerry dhe të cilin ata e emërtojnë si "Symbiote", I pazbuluar më parë, ai vepron si parazitar pasi duhet të infektojë procese të tjera që funksionojnë për të shkaktuar dëme në makinat e infektuara.

Symbiote, i zbuluar për herë të parë në nëntor 2021, fillimisht u shkrua për të synuar sektorin financiar në Amerikën Latine. Pas një infeksioni të suksesshëm, Symbiote fsheh veten dhe çdo malware tjetër të vendosur, duke e bërë të vështirë zbulimin e infeksioneve.

Malware synimi i sistemeve Linux nuk është i ri, por teknikat e fshehta të përdorura nga Symbiote e bëjnë atë të dallohet. Lidhësi ngarkon malware nëpërmjet direktivës LD_PRELOAD, duke e lejuar atë të ngarkohet përpara çdo objekti tjetër të përbashkët. Meqenëse ngarkohet i pari, mund të "rrëmbejë importet" e skedarëve të tjerë të bibliotekës të ngarkuar për aplikacionin. Symbiote e përdor këtë për të fshehur praninë e saj në makinë.

"Meqenëse malware funksionon si një rootkit i nivelit të përdoruesit, zbulimi i një infeksioni mund të jetë i vështirë," përfundojnë studiuesit. "Telemetria e rrjetit mund të përdoret për të zbuluar kërkesa anormale DNS dhe mjetet e sigurisë si antivirusi dhe zbulimi dhe përgjigja e pikës fundore duhet të jenë të lidhura në mënyrë statike për t'u siguruar që ato të mos 'infektohen' nga rootkit-et e përdoruesve."

Pasi Symbiote është infektuar të gjitha proceset e ekzekutimit, ofron funksione sulmuese të rootkit me aftësinë për të mbledhur kredencialet dhe aftësia e aksesit në distancë.

Një aspekt teknik interesant i Symbiote është funksionaliteti i tij i përzgjedhjes së Filterit të Paketave Berkeley (BPF). Symbiote nuk është malware i parë Linux që përdor BPF. Për shembull, një backdoor i avancuar që i atribuohet grupit Equation përdori BPF për komunikime të fshehta. Sidoqoftë, Symbiote përdor BPF për të fshehur trafikun e rrjetit me qëllim të keq në një makinë të infektuar.

Kur një administrator nis një mjet për kapjen e paketave në makinën e infektuar, bytekodi BPF injektohet në kernel që përcakton paketat që do të kapen. Në këtë proces, Symbiote së pari shton bytekodin e tij në mënyrë që të filtrojë trafikun e rrjetit që ju nuk dëshironi që softueri i kapjes së paketave të shohë.

Symbiote gjithashtu mund të fshehë aktivitetin tuaj të rrjetit duke përdorur teknika të ndryshme. Kjo mbulesë është e përkryer për të lejuar që malware të marrë kredencialet dhe të sigurojë akses në distancë te aktori i kërcënimit.

Studiuesit shpjegojnë pse është kaq e vështirë të zbulohet:

Pasi malware ka infektuar një makinë, ai fshihet, së bashku me çdo malware tjetër të përdorur nga sulmuesi, duke e bërë shumë të vështirë zbulimin e infeksioneve. Një skanim i drejtpërdrejtë mjeko-ligjor i një makinerie të infektuar mund të mos zbulojë asgjë, pasi malware fsheh të gjithë skedarët, proceset dhe objektet e rrjetit. Përveç aftësisë së rootkit, malware ofron një backdoor që i lejon aktorit të kërcënimit të identifikohet si çdo përdorues në makinë me një fjalëkalim të koduar dhe të ekzekutojë komanda me privilegjet më të larta.

Meqenëse është jashtëzakonisht i pakapshëm, një infeksion Symbiote ka të ngjarë të "fluturojë nën radar". Nëpërmjet hetimit tonë, ne nuk gjetëm prova të mjaftueshme për të përcaktuar nëse Symbiote përdoret në sulme me shënjestër të lartë ose në shkallë të gjerë.

Më në fund nëse jeni të interesuar të dini më shumë për të, ju mund të kontrolloni detajet në lidhja vijuese.


Lini komentin tuaj

Adresa juaj e emailit nuk do të publikohet. Fusha e kërkuar janë shënuar me *

*

*

  1. Përgjegjës për të dhënat: Miguel Ángel Gatón
  2. Qëllimi i të dhënave: Kontrolloni SPAM, menaxhimin e komenteve.
  3. Legjitimimi: Pëlqimi juaj
  4. Komunikimi i të dhënave: Të dhënat nuk do t'u komunikohen palëve të treta përveç me detyrim ligjor.
  5. Ruajtja e të dhënave: Baza e të dhënave e organizuar nga Occentus Networks (BE)
  6. Të drejtat: Në çdo kohë mund të kufizoni, rikuperoni dhe fshini informacionin tuaj.

  1.   newbie dijo
    më parë Vjet 2

    Si gjithmonë, një tjetër "kërcënim" për GNU/Linux që ata nuk thonë se si instalohet për të infektuar sistemin pritës

    Përgjigju tek newbie
  2.   newbie dijo
    më parë Vjet 2

    Si gjithmonë, një tjetër "kërcënim" për GNU/Linux ku zbuluesit nuk shpjegojnë se si sistemi pritës është i infektuar me malware

    Përgjigju tek newbie
    1.    I errët dijo
      më parë Vjet 2

      Pershendetje, per sa i perket asaj qe thua, cdo defekt apo zbulim cenueshmërie ka një proces zbulimi që nga momenti kur zbulohet, zhvilluesi apo projekti informohet, jepet një periudhë mospagimi që të zgjidhet, lajmet zbulohen dhe në fund, nëse dëshironi. , xploit ose metoda që demonstron dështimin publikohet.

      Përgjigju Darkcraftzt